Auditoría propia vs. auditoría contratada para la Ley de IA de la UE: cuándo tiene sentido cada una
# Auditoría propia vs. auditoría contratada para la Ley de IA de la UE: cuándo tiene sentido cada una
Ofrezco una auditoría de pago. También publico una lista de verificación gratuita. Por eso soy la persona menos indicada para ser objetiva al respecto, salvo por el hecho de que elegir mal puede costarte dinero real o tiempo real, y prefiero que tomes la decisión correcta.
Esta entrada expone la decisión tal como la planteo a los clientes potenciales que me la preguntan. Aproximadamente un tercio acaba haciendo la auditoría propia y nunca me paga. Los otros dos tercios pagan por la auditoría. Ambas son respuestas correctas para equipos diferentes.
Las dos opciones en términos sencillos
Auditoría propia. Lees el Reglamento (UE) 2024/1689 o nuestra lista de verificación de código abierto, clasificas tus funcionalidades de IA por tu cuenta, redactas las divulgaciones tú mismo, produces tu propio registro de auditoría y lo presentas. Coste: solo tiempo. Riesgo: cometer un error de clasificación que nadie detecte hasta que lo haga un supervisor.
Auditoría contratada. Una persona con experiencia regulatoria analiza tu producto, clasifica cada funcionalidad según el Anexo III, redacta la documentación, entrega el código de divulgación y te proporciona un informe en PDF con su nombre. Coste: normalmente entre 800 y 30 000 euros según el proveedor. Riesgo: gastar dinero que no necesitabas gastar si tu situación era más sencilla de lo que creías.
Cuándo la auditoría propia es la opción correcta
Deberías hacer una auditoría propia si se cumplen cuatro condiciones:
- Solo tienes IA de riesgo mínimo. Autocompletar, detección de spam, clasificación de búsquedas, widgets de recomendación sin impacto significativo en la vida del usuario. Ningún activador del Anexo III. Sin chatbots de alto riesgo. El Reglamento prácticamente no te afecta.
- Tienes tiempo. Una auditoría propia requiere entre 8 y 16 horas de trabajo concentrado por parte de un fundador o responsable técnico, desde el inicio hasta la presentación del archivo. Si dispones de ese tiempo antes de tu plazo, puedes hacerla.
- Te sientes cómodo leyendo normativa. La Ley de IA es densa, pero legible. Si «transparencia del Artículo 50» y «Anexo III(4) empleo» no te generan inseguridad, puedes orientarte en ella. Si te la generan, consulta el apartado siguiente.
- No necesitas mostrar el archivo a un cliente o inversor. Una auditoría propia es defendible ante un supervisor. A veces resulta más difícil defenderla ante un cliente empresarial sofisticado que exige un archivo de cumplimiento firmado por un tercero como parte de su proceso de contratación.
Si se cumplen esas cuatro condiciones, nuestra lista de verificación de código abierto es todo lo que necesitas. Úsala. Envía un pull request si detectas alguna laguna.
Cuándo la auditoría contratada es la opción correcta
Deberías pagar por una auditoría si se cumple alguna de estas condiciones:
- Tienes alguna funcionalidad del Anexo III. La clasificación de alto riesgo activa una evaluación de conformidad, un expediente técnico conforme al Artículo 11, supervisión humana conforme al Artículo 14, vigilancia poscomercialización e inscripción en la base de datos de la UE. Esto no son 16 horas de trabajo. Aunque puedas hacerlo tú mismo, probablemente no deberías. Los errores aquí suponen entre el 3 y el 7 por ciento del volumen de negocios.
- Vendes a empresas que solicitan pruebas de cumplimiento. Una auditoría propia firmada por ti mismo es más difícil de defender en una revisión de contratación que una auditoría firmada por una parte independiente. Algunos clientes potenciales lo pedirán. Conviene que puedas responder afirmativamente.
- Tienes poco tiempo. Si te quedan 30 días o menos para tu plazo y aún no has empezado, un auditor con experiencia te ahorra el calendario. Una auditoría entregada en 5 días te deja 25 días de margen.
- Quieres un registro de decisiones defendible. Si alguna vez te enfrentas a un supervisor, a una pregunta de un inversor, a una revisión del consejo de administración o a una disputa con un cliente sobre el cumplimiento de la Ley de IA de la UE, un informe de auditoría externo es mucho más fácil de presentar que tu propia documentación interna.
- Quieres dedicar tus ciclos al producto, no a la normativa. El tiempo del fundador es el tiempo más caro de la empresa. Si puedes gastar 997 euros para recuperar 16 horas de tu propio tiempo, el cálculo es evidente.
Qué te ofrecen 997 euros
La auditoría de Disclos cuesta 997 euros, pago único, sin suscripción. En 5 días hábiles recibes:
- Un informe de cumplimiento en PDF vinculado al Reglamento (UE) 2024/1689, que mapea cada funcionalidad de IA de tu producto con su categoría de riesgo
- Un vídeo explicativo en Loom con los razonamientos detrás de cada decisión
- Código de divulgación del Artículo 50 listo para copiar y pegar, adaptado a las superficies de tu producto
- Plantillas internas de cumplimiento (llevanza de registros, notificación de incidentes, política de supervisión humana, procedimiento del punto de contacto)
- Garantía de reembolso: si tu SaaS no cumple la normativa antes del 2 de agosto de 2026 en función del trabajo entregado, recibes un reembolso íntegro
Podemos hacerlo por 997 euros porque la metodología subyacente está estandarizada. No reinventamos una práctica de cumplimiento para cada SaaS. Aplicamos la misma metodología probada de 6 etapas, personalizada para tu producto.
Qué no te ofrecen 997 euros
No incluye:
- Una evaluación de conformidad completa de alto riesgo del Anexo III con intervención de un organismo notificado. Si tienes una funcionalidad de alto riesgo que requiere evaluación de conformidad por terceros (la mayoría no la requiere, pero verifica el Artículo 43), lo señalaremos y te remitiremos a un organismo notificado. Ese trabajo es independiente y tiene un coste significativamente mayor.
- Vigilancia poscomercialización continua. La auditoría es puntual. La vigilancia poscomercialización es operativa y continua. Podemos asesorarte sobre la política.
- Dictamen jurídico. Somos una práctica de cumplimiento, no un despacho de abogados. Para un dictamen jurídico vinculante sobre casos límite, necesitas un abogado.
Si necesitas alguno de estos servicios, la auditoría es un primer paso útil, pero no el único.
La comparativa honesta
| Auditoría propia | Auditoría Disclos | |
|---|---|---|
| Coste | Solo tu tiempo | 997 euros |
| Inversión de tiempo | 8 a 16 horas | 30 minutos de incorporación + revisión |
| Tiempo hasta la finalización | 1 a 4 semanas | 5 días hábiles |
| Defendibilidad ante el supervisor | Sí, si se hace bien | Sí |
| Defendibilidad ante el cliente empresarial | A veces más difícil | Sí |
| Reembolso si no hay cumplimiento | No | Sí |
| Apta para funcionalidades de alto riesgo | Arriesgado | Sí |
| Apta solo para riesgo mínimo | Sí, ideal | Excesivo |
Si tu situación es sencilla, la auditoría propia es la opción correcta. El repositorio gratuito te llevará hasta allí. Si tu situación es más compleja o quieres cerrar este tema y volver a construir, la auditoría de 997 euros es la opción correcta.
Elegir mal en cualquiera de los dos casos supone principalmente dinero o tiempo desperdiciados. Elegir bien en cualquiera de los dos casos supone principalmente un expediente regulatorio en el que ya no tienes que pensar. Ambas opciones son mejores que la tercera, que es confiar en que el plazo no significa realmente lo que dice.
El 2 de agosto de 2026 sí significa lo que dice.
Last updated: 2026-06-04